Таҳлили пас аз он: чӣ дар бораи ҳамлаи охирин ба шабакаи SKS Keyserver серверҳои калиди крипто маълум аст

Хакерҳо аз хусусияти протоколи OpenPGP истифода карданд, ки зиёда аз даҳ сол маълум аст.

Мо ба шумо мегӯем, ки ин чӣ маъно дорад ва чаро онҳо онро баста наметавонанд.

/Unsplash/ Чунлеа Ҷу

Мушкилоти шабака

Дар нимаи моҳи июн маълум нест ҳамла анҷом дод ба шабакаи серверҳои калидҳои криптографӣ Сервери SKS, дар протоколи OpenPGP сохта шудааст. Ин стандарти IETF (RFC 4880), ки барои рамзгузории почтаи электронӣ ва дигар паёмҳо истифода мешавад. Шабакаи SKS сӣ сол пеш барои паҳн кардани шаҳодатномаҳои ҷамъиятӣ таъсис дода шудааст. Ба он воситахо, монанди gnuPG барои рамзкунонии маълумот ва эҷоди имзоҳои электронии рақамӣ.

Ҳакерҳо шаҳодатномаҳои ду роҳбари лоиҳаи GnuPG Роберт Ҳансен ва Даниэл Гиллморро зери даст гирифтанд. Бор кардани сертификати вайроншуда аз сервер боиси нокомии GnuPG мегардад - система танҳо ях мекунад. Боварӣ ҳосил кардан мумкин аст, ки ҳамлагарон бо ин қатъ намешаванд ва шумораи шаҳодатномаҳои вайроншуда танҳо афзоиш хоҳад ёфт. Дар айни замон, дараҷаи мушкилот номаълум боқӣ мемонад.

Моҳияти ҳамла

Ҳакерҳо аз осебпазирии протоколи OpenPGP истифода карданд. Вай дар давоми даҳсолаҳо ба ҷомеа маълум аст. Ҳатто дар GitHub метавон ёфт истисморҳои мувофиқ. Аммо то ба ҳол касе масъулияти бастани "сӯрохӣ"-ро ба дӯш нагирифтааст (дар бораи сабабҳо баъдтар муфассалтар сӯҳбат хоҳем кард).

Якчанд интихобҳо аз блоги мо дар Ҳабре:

• Диҷести SDN - шаш эмулятори кушодаасос
• Чӣ тавр сохтани SDN - Ҳашт абзори кушодаасос
• Диҷести шабакавӣ: 17 маводи коршиносӣ дар бораи Wi-Fi ва 5G

Тибқи мушаххасоти OpenPGP, ҳар кас метавонад ба сертификатҳо имзои рақамиро илова кунад, то соҳиби худро тасдиқ кунад. Гузашта аз ин, шумораи ниҳоии имзоҳо ба ҳеҷ ваҷҳ танзим карда нашудааст. Ва дар ин ҷо мушкилот ба миён меояд - шабакаи SKS ба шумо имкон медиҳад, ки дар як сертификат то 150 ҳазор имзо ҷойгир кунед, аммо GnuPG ин рақамро дастгирӣ намекунад. Ҳамин тариқ, ҳангоми боркунии сертификат, GnuPG (инчунин дигар татбиқи OpenPGP) ях мекунад.

Яке аз корбарон тачриба гузаронданд — овардани справка кариб 10 дакика вакт гирифт. Шаҳодатнома беш аз 54 ҳазор имзо дошт ва вазни он 17 МБ буд:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Барои бадтар кардани вазъият, серверҳои калидии OpenPGP маълумоти сертификатро нест намекунанд. Ин барои он анҷом дода мешавад, ки шумо метавонед силсилаи ҳама амалҳоро бо сертификатҳо пайгирӣ кунед ва иваз кардани онҳоро пешгирӣ кунед. Аз ин рӯ, нест кардани унсурҳои вайроншуда ғайриимкон аст.

Аслан, шабакаи SKS як "сервери файл"-и калонест, ки ҳар кас метавонад ба он маълумот нависад. Барои нишон додани мушкилот, соли гузашта сокини GitHub системаи файлиро ба вуҷуд овард, ки ҳуҷҷатҳоро дар шабакаи серверҳои калидҳои криптографӣ нигоҳ медорад.

Чаро осебпазирӣ баста нашудааст?

Барои бастани осебпазирӣ ягон сабаб вуҷуд надошт. Қаблан он барои ҳамлаҳои ҳакерӣ истифода намешуд. Гарчанде ки ҷомеаи IT муддати дароз пурсид Таҳиягарони SKS ва OpenPGP бояд ба мушкилот диққат диҳанд.

Барои одилона гуфтан лозим аст, ки дар мохи июнь онхо хануз ба кор андохта шуд сервери калидии таҷрибавӣ keys.openpgp.org. Он аз ин гуна ҳамлаҳо муҳофизат мекунад. Аммо, пойгоҳи додаи он аз сифр пур карда мешавад ва худи сервер ҷузъи SKS нест. Аз ин рӯ, пеш аз истифодаи он вақт лозим аст.

/Unsplash/ Рубен Багуес

Дар мавриди иштибоҳ дар системаи аслӣ, механизми мураккаби ҳамоҳангсозӣ аз ислоҳи он пешгирӣ мекунад. Шабакаи сервери калидӣ дар ибтидо ҳамчун далели консепсияи рисолаи доктории Ярон Мински навишта шуда буд. Ғайр аз он, барои кор як забони хеле мушаххас, OCaml интихоб карда шуд. Аз ҷониби мувофиқи нигоҳдорӣ Роберт Хансен, рамзро фаҳмидан душвор аст, бинобар ин ба он танҳо ислоҳоти ночиз ворид карда мешаванд. Барои тағир додани меъмории SKS, он бояд аз сифр дубора навишта шавад.

Дар ҳар сурат, GnuPG боварӣ надорад, ки шабака ҳеҷ гоҳ ислоҳ карда мешавад. Дар як паём дар GitHub, таҳиягарон ҳатто навиштаанд, ки онҳо кор карданро бо SKS Keyserver тавсия намедиҳанд. Дар асл, ин яке аз сабабҳои асосии гузариш ба хидмати нави keys.openpgp.org мебошад. Мо факат инкишофи минбаъдаи вокеахоро тамошо карда метавонем.

Якчанд мавод аз блоги корпоративии мо:

• Ботнет тавассути роутерҳо "спамҳо": он чизеро, ки шумо бояд донед
• DDoS ва 5G: ғафси "қубур" маънои мушкилоти бештарро дорад
• Сипар ё DPI - воситаҳои муҳофизатӣ барои мақсадҳои гуногун
• Интернет ба деҳа - сохтани шабакаи Wi-Fi радиорелей

Манбаъ: will.com